一个配置错误的数据库暴露了属于getshow.io(一个一体化视频营销平台)和animaker.com(一个DIY视频动画软件)网站的超过700000名用户的测试和个人数据。值得注意的是,Getshow.io归Animker.com所有。有问题的服务器注册在域名getshow.io下,由animaker.com管理。
该数据库目前包含5.3 GB的数据,并且随着每天添加新数据而不断增长。错误配置暴露的数据包括未被怀疑的客户的个人数据。这包括以下信息:
1.全名
2.设备类型
3.邮政编码
4.IP地址
5.手机号码
6.电子邮件地址
7.Animaker个人资料详情
8.国家/城市/州/地点
然而,正如来自Clouddefense.ai的网络安全研究员Anurag Sen独家透露的那样,在数据泄露中没有发现密码。Sen 说,他在搜索配置错误的云数据库时,在Shodan上确定了服务器。
来自错误配置服务器的屏幕截图显示了在没有密码的情况下向公众公开的信息类型。这意味着任何人都可以访问服务器,无需绕过安全验证即可访问和下载数据。
供您参考,Shodan是一种OSINT工具和专门的搜索引擎,网络安全研究人员使用它来定位易受攻击的物联网(IoT)设备,包括互联网上的服务器和配置错误的数据库。
此外,当访问控制和安全设置配置不当或保留为默认设置时,就会出现配置错误的数据库。尽管如此,Animker已获知此事,但至今未有回应。该公司首席执行官RS Raghavan已在Twitter上获知此事。
由于配置错误的数据库会暴露敏感数据,这可能会给受影响的个人和组织带来重大的经济损失、法律责任和声誉损害。
当一个错误配置的数据库暴露给公众时,它可能会被网络犯罪分子发现并利用,他们使用自动化工具扫描互联网以寻找开放的数据库。一旦找到易受攻击的数据库,他们就可以使用它来窃取数据、安装恶意软件、劫持它以勒索赎金或发起其他类型的网络攻击。
数据库配置错误的后果可能很严重,最近在RailYatri和US No Fly List发生的数据泄露事件证明了这一点。在这些案例中,数百万用户的个人信息被盗,给相关公司和当局造成了重大的财务和声誉损失。
为了防止错误配置的数据库暴露给公众,专家建议实施适当的访问控制和安全设置,包括强密码、加密和定期漏洞评估。
组织还应限制存储在其数据库中的敏感数据的数量,并确保只有授权用户才能访问这些数据。
评论已关闭。